那些遇到过的问题

在 c# 中使用 ---PUBLIC KEY--- 验证 JWT (ES256) 令牌

Con*_*ole 6 c# amazon-web-services jwt openid-connect

我有一个由 AWS ALB 使用 OpenID 连接器创建的 JWT。我需要在我的 C# 应用程序中验证令牌。但我很难让它发挥作用。

AWS在此处描述了令牌验证:https://docs.aws.amazon.com/elasticloadbalancing/latest/application/listener-authenticate-users.html ?icmpid=docs_elbv2_console

它应该分 3 个步骤进行:

  • 从令牌中获取密钥 ID
  • 从 aws alb enpoint 读取公钥(https://public-keys.auth.elb.' + region + '.amazonaws.com/' + key id)
  • 使用密钥解密有效负载

这是我得到的 JWT:

eyJ0eXAiOiJKV1QiLCJraWQiOiJjODE4ZTcxNi01OTAxLTQzOWQtOWFlZC1lYmRMODAyYjZkYTkiLCJhbGciOiJFUzI1NiIsImlzcyI6Imh0dHBzOi8vc2llbWVucy1xYS0wMDA2OS5ldS5hdXRoMC5 jb20vIiwiY2xpZW50IjoiMndsS3k0YlRXbGpZWm9KYXZRSVFqVTE3OUprVG4zNDAiLCJzaWduZXIiOiJhcm46YXdzOmVsYXN0aWNsb2FkYmFsYW5jaW5nOmV1LWNlbnRyYWwtMTo0ODU2ODM0OD CXOTY6bG9hZGJhbGFuY2VyL2FwcC9maW5kLXRlc3QtYWxiLzU3YzBmMWYzZjg0YzZjMjEiLCJleHAiOjE1NzU1NDMwMzN9.eyJzdWIiOiJvYXV0aDJ8bWFpbi10ZW5hbnQtb2lkY3xzYW1sc HxTaWVtZW5zfFowMDJFSk5VIiwiZ2l2ZW5fbmFtZSI6IlJhcGhhZWwiLCJmYW1pbHlfbmFtZSI6IlNjaG5haXRsIiwibmlja25hbWUiOiJSYXBoYWVsIiwibmFtZSI6IlJhcGhhZWwgU2NobmFpd GwiLCJwaWN0dXJlIjoiaHR0chHM6Ly9zLmdyYXZhdGFyLmNvbS9hdmF0YXIvODkzNWVlY2QzMDc2ZTAyMTQ5ODE2MTZmZjBkZTRkZjI_cz00ODAmcj1wZyZkPWh0dHBzJTNBJTJGJTJGY2RuLMF1 dGgwLmNvbSUyRmF2YXRhcnMlMkZyYS5wbmciLCJ1cGRhdGVkX2F0IjoiMjAxOS0xMi0wNVQxMDo0ODozMy4wNjhaIiwiZXhwIjoxNTc1NTQzMDMzLCJpc3MiOiJodHRwczovL3NpZW1lbnMtcWEtMDAwN jkuZXUuYXV0aDAuY29tLyJ9.M39aPefXmaDGzaDd0qHcQHMhvugTVN4i4pyvGJ-7fayewU9vZdtKvSzFF9rVal8GEz7HKTr_auqMw9HemOWyag==

因此,密钥 ID 为:c818e716-5901-439d-9aed-ebdf802b6da9

公钥:

-----BEGIN PUBLIC KEY-----
MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAENARdEGaEpfgHph3440UodVsQdqxi
PYz+l1aEcz+Bivr6emXDnor1nET94dbPqYxk+vtUHGkgOb44VPEZUe4ijQ==
-----END PUBLIC KEY-----
Run Code Online (Sandbox Code Playgroud)

我尝试使用以下方法验证代码:

  • 使用System.IdentityModel.Tokens.Jwt命名空间。但我无法将公钥作为字符串提供给 ValidationParameters。我遵循了与此答案类似的方法/sf/answers/3630685761/。感觉很复杂而且容易出错。由于一整天后我无法让它工作,我决定转向提供相同功能的 nuget 包之一。
  • 使用 JWT nuget 包,但它不支持 AWS ALB 使用的算法。
  • 使用 Jose.JWT nuget 包使用以下代码:

Jose.JWT.Decode(__token, publicKeyPem, Jose.JwsAlgorithm.ES256)

出现以下错误:

错误:脚本执行失败。[ArgumentException] EcdsaUsingSha 算法期望密钥为 CngKey 或 ECDsa 类型。

如何使用 C# 简单地验证来自 AWS ALB 的 JWT?

Dan*_*ica 5

公钥在https://siemens-qa-00069.eu.auth0.com/.well-known/openid-configuration上不可用。所以你可以尝试手动方法:

    private static ECDsa LoadPublicKey(byte[] key)
    {
        byte[] pubKeyX = key.Skip(27).Take(32).ToArray();
        byte[] pubKeyY = key.Skip(59).Take(32).ToArray();
        return ECDsa.Create(new ECParameters
        {
            Curve = ECCurve.NamedCurves.nistP256,
            Q = new ECPoint
            {
                X = pubKeyX,
                Y = pubKeyY
            }
        });
    }
Run Code Online (Sandbox Code Playgroud) 
        string key = "MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAENARdEGaEpfgHph3440UodVsQdqxiPYz+l1aEcz+Bivr6emXDnor1nET94dbPqYxk+vtUHGkgOb44VPEZUe4ijQ==";
        ECDsa ecdsa = LoadPublicKey(Convert.FromBase64String(key));
        string authorizationDomain = "https://siemens-qa-00069.eu.auth0.com/";
        string jwt = "eyJ0eXAiOiJKV1QiLCJraWQiOiJjODE4ZTcxNi01OTAxLTQzOWQtOWFlZC1lYmRmODAyYjZkYTkiLCJhbGciOiJFUzI1NiIsImlzcyI6Imh0dHBzOi8vc2llbWVucy1xYS0wMDA2OS5ldS5hdXRoMC5jb20vIiwiY2xpZW50IjoiMndsS3k0YlRXbGpZWm9KYXZRSVFqVTE3OUprVG4zNDAiLCJzaWduZXIiOiJhcm46YXdzOmVsYXN0aWNsb2FkYmFsYW5jaW5nOmV1LWNlbnRyYWwtMTo0ODU2ODM0ODcxOTY6bG9hZGJhbGFuY2VyL2FwcC9maW5kLXRlc3QtYWxiLzU3YzBmMWYzZjg0YzZjMjEiLCJleHAiOjE1NzU1NDMwMzN9.eyJzdWIiOiJvYXV0aDJ8bWFpbi10ZW5hbnQtb2lkY3xzYW1scHxTaWVtZW5zfFowMDJFSk5VIiwiZ2l2ZW5fbmFtZSI6IlJhcGhhZWwiLCJmYW1pbHlfbmFtZSI6IlNjaG5haXRsIiwibmlja25hbWUiOiJSYXBoYWVsIiwibmFtZSI6IlJhcGhhZWwgU2NobmFpdGwiLCJwaWN0dXJlIjoiaHR0cHM6Ly9zLmdyYXZhdGFyLmNvbS9hdmF0YXIvODkzNWVlY2QzMDc2ZTAyMTQ5ODE2MTZmZjBkZTRkZjI_cz00ODAmcj1wZyZkPWh0dHBzJTNBJTJGJTJGY2RuLmF1dGgwLmNvbSUyRmF2YXRhcnMlMkZyYS5wbmciLCJ1cGRhdGVkX2F0IjoiMjAxOS0xMi0wNVQxMDo0ODozMy4wNjhaIiwiZXhwIjoxNTc1NTQzMDMzLCJpc3MiOiJodHRwczovL3NpZW1lbnMtcWEtMDAwNjkuZXUuYXV0aDAuY29tLyJ9.M39aPefXmaDGzaDd0qHcQHMhvugTVN4i4pyvGJ-7fayewU9vZdtKvSzFF9rVal8GEz7HKTr_auqMw9HemOWyag==";
        TokenValidationParameters tokenValidationParameters = new TokenValidationParameters
        {
            ValidIssuer = authorizationDomain,
            ValidateAudience = false,
            IssuerSigningKey = new ECDsaSecurityKey(ecdsa)
        };
        try
        {
            JwtSecurityTokenHandler jwtSecurityTokenHandler = new JwtSecurityTokenHandler();
            jwtSecurityTokenHandler.ValidateToken(jwt, tokenValidationParameters, out _);
            return true;
        }
        catch (SecurityTokenException)
        {
            return false;
        }
Run Code Online (Sandbox Code Playgroud)

问题是我无法测试它,因为在我的机器(Windows 10 + .NET Core 2.1)上我收到此错误:

System.PlatformNotSupportedException:指定的曲线“nistP256”或其参数对此平台无效。---> Internal.Cryptography.CryptoThrowHelper+WindowsCryptographicException: 参数不正确

归档时间:

查看次数:

5819 次

最近记录:

5 年,11 月 前
使用C#中的公钥验证使用RS256算法签名的JWT 44
更多相关链接
相关归档
ASP.NET MVC将ActionLink中的ID传递给控制器 97
如何在C#中将uint转换为int? 93
重命名ASP.NET MVC项目导致控制器错误的多种类型 47
ASP.NET身份承载令牌与JWT优点和缺点 19
有人会好好告诉如何使用namecheap设置Amazon SES吗? 13
如何在PHP中使用亚马逊的API搜索图书? 11
每个环境的 AWS VPC,还是针对不同环境具有多个子网的单个 VPC? 6
将全局二级索引添加到现有 DynamoDB 表的成本 6
AWS Cognito ListUsers InvalidParameterException 在自定义属性上使用 AttributesToGet 5
.Net Core IsAuthenticated false,即使我手动使用HttpContext.SignInAsync 1
难疑归档
堆栈和堆的内容和位置是什么? 7847
如何检查数组是否包含JavaScript中的对象? 3778
在HTML5 localStorage中存储对象 2386
PHP:从数组中删除元素 2362
使div填充剩余屏幕空间的高度 1743
JavaScript发布请求,如表单提交 1465
jQuery document.createElement等价? 1226
如何使用jQuery按名称选择元素? 1160
基于容器宽度的字体缩放 1083
如何列出包含给定提交的分支? 1029